Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Relevanta dokument
Utredningen om genomförande av NIS-direktivet

Svensk författningssamling

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Informationssäkerhet för samhällsviktiga och digitala tjänster

- Vad du behöver veta om NIS

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Svensk författningssamling

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

NIS-reglering.

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Myndigheten för samhällsskydd och beredskaps författningssamling

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Nya krav på systematiskt informationssäkerhets arbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Verksamhetsplan Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Tillsyn NIS via självskattning

Hur värnar kommuner digital säkerhet?

Samhällets funktionalitet nuläge och utmaningar

Programmet för säkerhet i industriella informations- och styrsystem

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Välkommen till enkäten!

Policy för informationssäkerhet

Informationssäkerhet för samhällsviktiga och digitala tjänster

Kungsbacka Kommun. Rapport: Granskning av IT-säkerhet. Juni Max Wann-Hansson. Jesper Ehrner Vilhelmsson. Hardik Patel

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Systematiskt arbete med skydd av samhällsviktig verksamhet

Bilaga 3 Säkerhet Dnr: /

Finansinspektionens författningssamling

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Informationssäkerhetspolicy

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet för samhällsviktiga och digitala tjänster

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga Från standard till komponent

Informationssäkerhetspolicy för Ånge kommun

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Finansinspektionens författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Ledningssystem för Informationssäkerhet

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Digitalisering en möjlighet om vi når säkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Säkerhet i industriella informations- och styrsystem

Ledningssystem för Informationssäkerhet

Regelrådets ställningstagande. Innehållet i förslaget. Myndigheten för samhällsskydd och beredskap

Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

INFORMATIONSSÄKERHET OCH DATASKYDD

Att säkerställa informationssäkerhet vid upphandling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Gräns för utkontraktering av skyddsvärd information

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Administrativ säkerhet

1 Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (8) Datum

Koncernkontoret Enheten för säkerhet och intern miljöledning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för informationssäkerhet

Transkript:

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Digitalisering Nivå Digitalisering Incidenter Informationssäkerhet $ Tid

NIS-direktivet NIS - Network Information Security Flera skäl, bland annat: -Ekonomisk och samhällelig verksamhet, inre marknadens funktion -Minska säkerhetsincidenter (antal, omfattning) -Säkerställa att de allvarligaste incidenterna rapporteras -Främja en riskhanteringskultur -Säkerställa en hög nivå på säkerheten

NIS-direktivet Energi Transporter (väg, järnväg, sjöfart, luftfart) Bankverksamhet Finsansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Digitala tjänster

Vilka system avses? Nätverks- och informationssystem - definieras i direktivet och svensk lag. För vattensektorn digitala system som påverkar leveransen av vatten, ex styrsystem (ICS / SCADA).

NIS-lagstiftningen - hierarkin NIS-direktivet: Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) Förordning om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1175) Myndigheten för samhällsskydd och beredskaps föreskrifter om identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:XXXX) Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster; (MSBFS 2018:XXXX) Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster (MSBFS 2018:XXXX) Myndigheten för samhällsskydd och beredskaps föreskrifter om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet (MSBFS 2018:XXXX) Livsmedelsverkets föreskrifter (LIVSFS)

Tidslinje 2018 10 maj NIS-direktivet träder i kraft 1 augusti Svensk lag träder i kraft Höst MSBs föreskrifter

Lagens tillämpningsområde: Samhällsviktiga tjänsteleverantörer och digitala tjänster Etablerade i Sverige Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem En incident medför betydande störning vid tillhandahållandet av tjänsten. Gäller ej verksamhet som omfattas av säkerhetsskydd

Vad är en samhällsviktig tjänsteleverantör inom dricksvatten? Beskrivs i MSBs föreskrifter. Remissförslag gällande dricksvatten: Levererar dricksvatten till 20000+ personer Akutsjukhus

Vad är en incident med betydande inverkan? Beskrivs i MSBs föreskrifter. Remissförslag för dricksvatten: Vid leveransavbrott i minst två timmar Styrning och övervakning av tjänsten inte har kunnat genomföras under en tidsperiod om minst två timmar

Digitala styrsystem (ICS eller SCADA) De nätverk, datorer och komponenter som styr och övervakar vattenproduktionen och distributionen.

Informationssäkerhetsaspekter Tillgänglighet Riktighet Konfidentialitet

Vad ska göras? Några paragrafer att titta på: Vad (förenklat) Lag Föreskrift Tillsynsmyndighet Identifiering och anmälan 23 MSB (höst 2018) Livsmedelsverket Rapportering av incidenter 18 MSB (höst 2018) Livsmedelsverket Bedriva systematiskt arbete 11 MSB (höst 2018) Livsmedelsverket Årliga riskanalyser 12 Livsmedelsverket Livsmedelsverket Tekniska och organisatoriska åtgärder 13 Livsmedelsverket Livsmedelsverket Hantera incidenter 14 Livsmedelsverket Livsmedelsverket

Hur anmäla? De tjänsteleverantörer som utifrån MSBs kommande föreskrifter identifierat att de omfattas ska utan dröjsmål anmäla sig till respektive tillsynsmyndighet. Leverantörer inom området Leverans och distribution av dricksvatten ska anmäla sig till Livsmedelsverket. Instruktion kommer finnas på www.livsmedelsverket.se/nis

Hur rapportera incidenter? Tjänsteleverantörerna ska anmäla incidenter som har en betydande inverkan på kontinuiteten av tjänsten till CSIRT (MSB). MSB föreskriver om innehåll i rapporten och anvisar metod.

Vad för slags säkerhetsåtgärder ska vidtas? 11 - Systematiskt och riskbaserat informationssäkerhetsarbete. 12 - Göra årlig riskanalys 13 - Säkerhetsåtgärder (tekniska och organisatoriska) 14 - Hantera incidenter

Systematiskt arbete 11 Förenklat exempel: Etablera Följ upp Analysera Resultat i form av kontinuitet i tjänsten. Åtgärda Dokumentera! Planera dvs verksamheten kan förebygga och hantera allvarliga störningar.

Riskanalys 12 Riskanalys som ska ligga till grund för åtgärder enligt 13-14. Ska uppdateras årligen och resulterar i en åtgärdsplan

Tekniska och organisatoriska åtgärder 13 Åtgärder för att säkerställa lämplig nivå på säkerheten relativt risken Exempel på åtgärder (OBS beror på er riskanalys) Separera administrativa och produktionsnätverk Säkerställa avtal (ex service och supportavtal, licenser). Tvåfaktorsautenticering för fjärrstyrning Förändra processen för förändringshantering Framtagande av utbildningsprogram

Incidenthantering 14 Åtgärder för att minimera effekten av incidenter och återställa tjänsten. Exempel på åtgärder (OBS beror på er riskanalys) Öva Tillgänglig reservhårdvara Undvik snäva marginaler

Vilket stöd finns? MSB www.msb.se/nis Metodstöd för LIS: www.informationssakerhet.se Stöd gällande styrsystem: www.msb.se/ics

Kontakt med Livsmedelsverket nistillsyn@slv.se www.livsmedelsverket.se/nis

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss